Um velho conhecido do setor de cibersegurança está de volta no Android e já conseguiu infectar um grande número de vítimas. Trata-se do Necro, um malware do tipo loader que serve de instalador de ainda mais ameaças para dispositivos móveis.
O laboratório da Kaspersky encontrou o Necro em uma versão repaginada, capaz de se instalar a partir de kits de desenvolvimento maliciosos de softwares de publicidade. Dessa forma, ele consegue se integrar em programas que passam pelos mecanismos de segurança da Google Play Store e são oferecidos normalmente na loja digital.
De acordo com o levantamento da Kaspersky, o Necro já foi baixado em ao menos 11 milhões de dispositivos móveiscom Android. Boa parte desses downloads foi em um aplicativo de filtro de embelezamento legítimo, o Wuta Camera. O Max Browser, que promete uma navegação supostamente segura, também estava infectado.
Porém, ele também foi identificado em mods de jogos para Android ou versões personalizadas e falsas de serviços populares, incluindo até o Spotify e o WhatsApp. Nestes casos, os programas são baixados por fora da Google Play Store e a partir de fontes não oficiais, algo que deve ser normalmente evitado pelo usuário.
Como o Necro infecta o seu celular
Essa nova versão do Necro usa a técnica da esteganografia para esconder o malware em arquivos de imagem. Dessa forma, ele é capaz de entregar a “carga” maliciosa depois de já devidamente instalado em um dispositivo.
Com as portas abertas para funcionar, o loader tem várias frentes de ação. Ele pode permitir a entrada de adwares, com anúncios fraudulentos e que garantem receita aos cibercriminosos; libera módulos de execução remota de códigos e arquivos JavaScript; carrega ferramentas de falsos serviços por assinatura automatizados; e pode até servir de intermediário para outros malwares.
De acordo com a Kaspersky, Rússia, Brasil e Vietnã foram os países com o maior número de infecções por parte do Necro. Consultada pela Kaspersky, a Google afirmou que estava analisando os casos denunciados.